关于参加AWD攻防比赛心得体会

今天只是简单写下心得和体会

平时工作很忙 留给学习的时间更加珍少宝贵。

重点说下第二天的攻防比赛吧  。

三波web题 。涉及jsp，php，py、

前期我们打的很猛。第一波jsp的题看到有首页预留后门，和css路径下一个非常隐蔽的马，我们利用这个马打了一大波flag，后面审计发现后台也是弱口令，存在上传。

而在后面，我们也利用几个马打了很大一波，名次很靠前，却没有好好防守，犯了一些致命错误，源码直接被人家删完，分数一点点拖后。到最后只有省3的名次。

不记录多的，一个是平时练习不够确实和人家前面的学校有差距，有的别的队是大三的职业ctf，二个是没有经验和吃了很多不懂赛制的亏(例如一个flag可以提交三次)，三个就是战术没有到位，只有两个人去打这场比赛(别的是三个人)

立个flag，下学期大三了还会参加，到时候会锤回来。

简单说下awd比赛需要注意的点。

• 拿到ssh密码后不要想着第一时间打，首先是备份全部源码，包括web的上级目录，这次我们就是被全部目录删除，恢复的很惨。
• 备份后首先是看预留后门，这是官方给的第一波机会，删后门，写脚本打一波，脚本一定要提前写好，现成写来不及的，我们就是没有准备好。
• 后门的打好了后，就是审计，不要一个点一个点的细看，要快速审计，没有那么多时间给你方方面面的审计，要根据功能去审计，比如一个参数，你结合源码看看有没有注入，后台你看看有没有上传，再者就是小源码可以上网搜下现成的洞，涉及到框架的洞也要重视。还有的就是会的要多，要是只会php，给你jsp的题你就等着挨打。